Microsoft уже несколько месяцев пытается бороться с уязвимостями PrintNightmare в операционных системах Windows, но все выпущенные патчи так и не смогли в полной мере решить проблемы. Эксплуатация данных уязвимостей позволяет злоумышленникам запускать код с привилегиями SYSTEM, что является серьёзной проблемой с безопасностью.

Исследователь безопасности Бенджамин Делпи (Benjamin Delpy), который является первооткрывателем уязвимостей PrintNightmare, дал интервью порталу Windows Central, в котором рассказал, почему существуют эти уязвимости, а также оценил шаги Microsoft по исправлению проблем.

По словам Делпи, PrintNightmare — это общая категория недостатков в диспетчере очереди печати. Проще говоря, этот термин используется для всех уязвимостей в диспетчере очереди печати Windows (Printing Spooler), связанных с установкой драйверов для принтеров. Хоть Microsoft и пытается решить проблемы, выпускаемые проблемы не устраняют источник уязвимости:

Microsoft выпустила несколько исправлений, но пока ни одно из них не решает полностью все проблемы с безопасностью, связанные с установкой драйверов для принтеров непривилегированными пользователями. Сейчас их исправления ограничивают поведение диспетчера очереди печати по умолчанию, чтобы НЕ разрешать непривилегированным пользователям устанавливать драйверы (даже подлинные). Они предпочитают избегать комплексного решения проблемы, вместо того, чтобы переделать какую-то часть продукта.

Great #patchtuesday Microsoft, but did you not forgot something for #printnightmare? ?

Still SYSTEM from standard user...

(I may have missed something, but #mimikatz?mimispool library still loads... ?‍♂️) pic.twitter.com/OWOlyLWhHI

— ? Benjamin Delpy (@gentilkiwi) August 10, 2021

Уязвимости PrintNightmare не несут особой угрозы для обычных пользователей, но они представляют большую угрозу безопасности в корпоративной среде. Простой запуск программы, макроса, скрипта может повысить привилегии до SYSTEM и скомпрометировать всю систему. В некоторых случаях это может даже привести к получению учетных данных других пользователей/администраторов для компрометации других систем в сети.

This works well.
Who could have predicted that allowing non-admin users to automatically install printer drivers could have ended up being problematic? https://t.co/0c4IRwUoij

— Will Dormann (@wdormann) July 17, 2021

В настоящее время очень трудно устранить все проблемы в таких устаревших компонентах. Протоколы, лежащие в его основе, документировались для NT 3.1… С точки зрения безопасности, он должен быть полностью переписан, чтобы он был полностью изолирован и НЕ имел привилегий SYSTEM… Это наследие прошлого, которое больше не должно существовать.

Будут ли уязвимости PrintNightmare когда-либо полностью исправлены? Прогноз Бенджамина Делпи не выглядит оптимистичным:

Это зависит от многих вещей. Честно говоря, я думаю, что если они вложат немного человеческих ресурсов, то смогут решить многие проблемы, связанные с установкой драйверов для принтеров. [Это оставляет] ответственность на предприятии за то, следует ли обходить это или нет… Это не очень ответственно со стороны Microsoft, но [позволяет им избегать необходимости] действительно исправлять более глубокие проблемы. Если они решат заново переписать движок диспетчера очереди печати, то да, они смогут исправить множество текущих (и будущих проблем), но, как вы видели, для них это не самая интересная тема.

Проблема ещё и в том, что данные уязвимости активно эксплуатируются злоумышленниками, причём стоимость такой атаки относительно невысока, а сам процесс может быть легко автоматизирован.

Источник: The Community.